So bereite ich mich vor: Welche Gesetze muss ich einhalten? Was kommt auf mich zu?

Um der zunehmenden Bedrohung durch Cyberangriffe zu begegnen, wurden in den letzten Jahren viele neue Gesetze erlassen – zusätzlich zu den Regelungen, die es schon länger gibt.

Jeder, der personenbezogene Daten verarbeitet, muss sich an die Datenschutzgrundverordnung (DSGVO) halten. Die Geschäftsführung von Unternehmen muss den Anteilseignern gegenüber nachweisen können, dass sie keine unangemessenen Risiken eingegangen ist (GmbHG, KonTraG). Sofern Organisationen zur kritischen Infrastruktur gehören, müssen sie zusätzliche Schutzmaßnahmen ergreifen (CER, NIS-2).

Ob eine Organisation demnächst zusätzliche Schutzmaßnahmen ergreifen muss, hängt von zwei Faktoren ab: der Branche und der Größe; mit dem NIS-2-Umsetzungsgesetz gibt es verschiedene Kategorien. Auf der Website des BSI finden Sie erste Orientierungspunkte zu Betroffenheit und Pflichten der Unternehmen (siehe Links).

Hilfreiche Links

NIS-2-Betroffenheitsprüfung des BSI

Grundlegende Infos der Transferstelle Cybersicherheit zur NIS-2-Umsetzung
Der aktuelle Stand zur Umsetzungsgesetzgebung bei der Initiative OpenKRITIS

Ein wesentliches Ziel der neuen Gesetze ist es, neben Mindestsicherheitsauflagen mehr Transparenz zu schaffen. Daher ist es wichtig, dass Vorfälle gemeldet werden. Die Meldung erfolgt auf sicherem Weg und steht nur berechtigten Interessengruppen offen. Eine Meldung muss innerhalb von 24 Stunden erfolgen, bei erheblichen Vorfällen muss man seine Kunden informieren. Eine Nichtbeachtung kann zu empfindlichen Sanktionen führen; die Geschäftsleitung kann die Verantwortung nicht delegieren.

Unabhängig davon, ob eine Organisation zur kritischen Infrastruktur gehört, ist die Geschäftsleitung dafür verantwortlich, keine unangemessenen Risiken einzugehen. In der Praxis bedeutet dies, dass das Unternehmen ein Informationssicherheits-Managementsystem etablieren sollte. Dies gilt auch für Datenschutzrisiken.

Podcast Folge 1: Gesetzliche Vorgaben zur Informationssicherheit

Über Gesetze zur IT-, Cyber- und Informationssicherheit hat DIHK-Expertin Katrin Sobania mit Prof. Dr. Sachar Paulus von der Fakultät für Informatik der Hochschule Mannheim gesprochen: Podcast

Um die individuellen Rechte von Personen zu schützen, deren Daten die Organisation verarbeitet, sind zudem spezifische Tätigkeiten umzusetzen, etwa das Beantworten von Anfragen auf Auskunft, die Herausgabe und Korrektur sowie die Löschung der Daten nach Ende der Aufbewahrungsfrist.

Die zwei Top-Tipps

Klären: Gilt mein Unternehmen zukünftig als kritische Infrastruktur (KRITIS)?
Erstellen einer Liste der für das eigene Unternehmen geltenden gesetzlichen Anforderungen mit Bezug zu IT- und Cybersicherheit (inklusive Datenschutz)